Organisé par Zero Day Initiative de Trend Micro, le concours de hacking Pwn2Own 2019 - axé sur la recherche de vulnérabilités de sécurité - vient d'avoir lieu à Vancouver au Canada. Cette édition 2019 a été maquée par quelques nouveautés, dont une catégorie automobile en partenariat avec Tesla.
Une cible a ainsi été une Tesla Model 3, sachant notamment que Tesla propose des mises à jour over-the-air des logiciels automobiles. L'équipe Fluoroacetate a relevé le défi et a remporté la berline familiale électrique haut de gamme de Tesla.
They did it. A successful demonstration by the @fluoroacetate duo on the Model 3 internet browser. Now off to the disclosure room for details and confirmation. pic.twitter.com/GrbZYUvYQa
— Zero Day Initiative (@thezdi) 22 mars 2019
Toutefois, l'exploit réussi n'a pas été le plus rémunérateur qui aurait pu porter sur l'exécution de code via un point non autorisé et touchant la technologie de gestion de la communication entre les modules du calculateur du véhicule avec différents bus et protocoles, le pilotage automatique ou le VCSEC en charge de plusieurs fonctions de sécurité.
C'est le système d'information-divertissement (infotainment) qui a été attaqué par le biais du navigateur web intégré de la Tesla Model 3. Richard Zhu et Amat Cama de Fluoroacetate ont utilisé un bug JIT dans le moteur de rendu du navigateur pour exécuter du code sur le firmware de la voiture et afficher leur propre message dans le système d'infotainment. Un exploit à 35 000 $ en plus de repartir avec la Tesla Model 3.
Un bug JIT (Just-in-Time) permet de contourner une protection comme le placement de manière aléatoire des zones de données en mémoire qui permet par exemple de limiter les effets d'une attaque de type dépassement de tampon. Tesla va rapidement proposer une mise à jour logicielle pour corriger le problème.
Dans le cadre Pwn2Own, ce sont en effet des hackers white hat qui participent et ils doivent faire la démonstration d'exploits préparés en amont. Les vulnérabilités mises en jeu doivent être nouvelles et les éditeurs (ou vendeurs) concernés ont la possibilité de les corriger par la suite (dans un délai de 90 jours avant divulgation publique) en prenant connaissance des détails techniques.
That's a wrap! Congrats to @fluoroacetate on winning Master of Pwn. There total was $375,000 (plus a vehicle) for the week. Superb work from this great duo. pic.twitter.com/Q7Fd7vuEoJ
— Zero Day Initiative (@thezdi) 22 mars 2019
Au-delà du cas de Tesla, l'équipe Fluoroacetate a été sacrée Master of Pwn de cette édition du Pwn2Own en remportant le plus de points et des récompenses d'un montant total de 375 000 $. Un autre exploit notable de leur part a été l'ouverture du navigateur Microsoft Edge depuis un client VMware Worsktation et la navigation sur une page web spécialement conçue (130 000 $).
Lors de ce concours Pwn2Own 2019, le montant des récompenses distribuées a atteint 545 000 $ pour un total de 19 bugs uniques dans Safari, Microsoft Edge, Firefox, Windows, VMware Workstation et donc le système d'infotainment de Tesla.
Cela explique notamment pourquoi le navigateur Firefox a reçu dans la foulée une mise à jour 66.0.1. Une très grande réactivité de Mozilla.
